In einer vor kurzem veröffentlichten Publikation über Sicherheitsmaßnahmen (auf Englisch) empfiehlt die US Food and Drug Administration aufgrund des zunehmenden Einsatzes von Computersystemen, mobilen Technologien und Netzwerken die Umsetzung von angemessenen Sicherheitsvorkehrungen durch Medizinprodukte-Hersteller und Gesundheitseinrichtungen.

Die FDA empfiehlt insbesondere Medizinprodukte-Herstellern einige Sicherheitsmaßnahmen, die der gängigen Norm entsprechen:

• Verhinderung von unbefugtem Zugriff auf Medizinprodukte durch Benutzer-Authentifizierung, Passwortschutz und Kartenleser;
• Schutz der Produktkomponenten vor Sicherheitsrisiken mit regelmäßigen Sicherheits-Patches und Beschränkungen von Software- und Firmware-Updates;
• Einbau eines abgesicherten Modus in das Design des Medizinprodukts, um die Funktionalität auch bei Sicherheitsverletzungen sicherzustellen.

In der FDA-Schrift wird auch angemerkt, dass für Änderungen an der Software von Medizinprodukten, die ausschließlich zur Verbesserung der Cyber-Sicherheit dienen, keine regulatorische Prüfung oder Genehmigung erforderlich ist.

Es stellt sich die Frage, ob bei Prüfungen von PMA-Anträgen (Genehmigung vor der Markteinführung) auch die Sicherheitsmaßnahmen des Produkts geprüft werden: Die FDA hat bereits Vorschläge zur Cyber-Sicherheit bei PMA-Anträgen und zur Cyber-Sicherheit von Produkten veröffentlicht, die serienmäßige Software verwenden.

Entwickler von mobilen Medizin-Anwendungen und Hersteller von Speichersystemen, deren Produkte in den USA in Klasse I eingestuft werden, wären besonders von einer genaueren Prüfung von Cybersicherheitsmaßnahmen betroffen, da diese Produkte derzeit keiner 510(k)-Prüfung unterliegen.